伴隨著數(shù)字化轉(zhuǎn)型的加速,大型政企單位面臨組織廣域化、辦公環(huán)境復(fù)雜化、應(yīng)用系統(tǒng)云化、信息數(shù)據(jù)集中化的變革,集團(tuán)總部與下級(jí)單位的互聯(lián)網(wǎng)出口訪問難以統(tǒng)一管控;同時(shí)遠(yuǎn)程辦公、移動(dòng)辦公以及混合辦公成為了工作常態(tài),隨之而來企業(yè)內(nèi)部信息資產(chǎn)訪問同樣面臨安全挑戰(zhàn),“防護(hù)不全、能力不夠、效率不高”已成為制約數(shù)字化轉(zhuǎn)型的瓶頸。
安全訪問面臨的三大挑戰(zhàn)
挑戰(zhàn)一:防護(hù)不全
集團(tuán)總部、數(shù)據(jù)中心、分支機(jī)構(gòu)、云平臺(tái)等的安全防護(hù)要求不同,安全需求復(fù)雜;各下級(jí)單位分布廣,安全邊界模糊,不再可信;IT基礎(chǔ)設(shè)施的防護(hù)范圍廣、防護(hù)點(diǎn)多,這些都會(huì)導(dǎo)致攻擊面大量暴露,防護(hù)難以覆蓋。
挑戰(zhàn)二:能力不夠
安全產(chǎn)品的大量堆砌、策略重復(fù)開啟,使得安全運(yùn)營(yíng)人員難以確認(rèn)安全產(chǎn)品的相關(guān)策略是否有效運(yùn)行,無法發(fā)揮潛在價(jià)值;與此同時(shí),大量安全設(shè)備產(chǎn)生的海量告警信息使得安全運(yùn)營(yíng)人員難以應(yīng)對(duì),從而讓真正有威脅的告警淹沒在了無效告警中,并且缺少專業(yè)人員研判、事件優(yōu)先級(jí)不明確,難以做到最優(yōu)的應(yīng)急處置策略。
挑戰(zhàn)三:效率不高
安全設(shè)備和系統(tǒng)需要部署在各二、三級(jí)單位,作用范圍小,資源浪費(fèi),各單位分散進(jìn)行安全事件分析處置,無法集中進(jìn)行管理,知識(shí)庫(kù)難共享;各種安全設(shè)備和系統(tǒng)無法統(tǒng)一進(jìn)行運(yùn)維管理,需要本地配置相應(yīng)的系統(tǒng)運(yùn)維人員,人效偏低。
四大能力模塊構(gòu)筑安全訪問基礎(chǔ)
為應(yīng)對(duì)上述挑戰(zhàn),奇安信Q-SASE將網(wǎng)絡(luò)功能和安全功能融合為統(tǒng)一服務(wù)模式,提供了終端可信接入、組網(wǎng)/引流、分布式安全資源以及統(tǒng)一安全運(yùn)營(yíng)服務(wù)平臺(tái)能力,使內(nèi)部用戶、分支機(jī)構(gòu)用戶和移動(dòng)辦公用戶,都能夠高效且安全地接入SASE服務(wù)節(jié)點(diǎn)(POP點(diǎn)),對(duì)外(out)受控訪問互聯(lián)網(wǎng)應(yīng)用、公有云SaaS,對(duì)內(nèi)(in)安全訪問公司內(nèi)部資源和應(yīng)用。
據(jù)介紹,奇安信Q-SASE主要包含四大模塊。
統(tǒng)一安全運(yùn)營(yíng)平臺(tái):對(duì)Q-SASE架構(gòu)中的系統(tǒng)、安全網(wǎng)關(guān)、資源池組件等進(jìn)行持續(xù)監(jiān)測(cè),保障整個(gè)系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行。支持對(duì)運(yùn)營(yíng)人員的權(quán)限和工作進(jìn)行管理,提供對(duì)安全告警日志和安全事件的持續(xù)跟蹤和管理,并基于客戶需求針對(duì)安全資源池和安全網(wǎng)關(guān)中的組網(wǎng)策略和安全策略進(jìn)行持續(xù)優(yōu)化
分布式安全資源池:采用虛擬化鏡像方式部署不同安全組件,比如虛擬化防火墻、上網(wǎng)行為審計(jì)、虛擬化WAF等,實(shí)現(xiàn)安全能力彈性擴(kuò)充、安全組件單點(diǎn)登錄、安全組件和特征庫(kù)統(tǒng)一升級(jí)管理功能。
組網(wǎng)&引流:安全網(wǎng)關(guān)采用SD-WAN組網(wǎng)技術(shù)與安全資源池實(shí)現(xiàn)快速靈活的接入,支持將分支訪問流量按需引流到安全資源池進(jìn)行安全防護(hù)和上網(wǎng)審計(jì);支持?jǐn)?shù)據(jù)加密傳輸,不同應(yīng)用設(shè)置不同的引流規(guī)則。
可信終端接入:通過零信任可信訪問控制臺(tái)和零信任可信應(yīng)用代理,從身份風(fēng)險(xiǎn)、終端風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)、權(quán)限和數(shù)據(jù)風(fēng)險(xiǎn)五個(gè)維度,全面構(gòu)建從終端到應(yīng)用訪問的端到端安全防護(hù)能力,通過便捷的運(yùn)維管理能力和動(dòng)態(tài)訪問控制機(jī)制,確保零信任的防護(hù)效果落實(shí)在業(yè)務(wù)訪問的各個(gè)階段。
三大價(jià)值構(gòu)提交安全訪問“最優(yōu)解”
基于上述四大模塊,奇安信Q-SASE能夠?yàn)榭蛻籼峁┮韵氯齻€(gè)方面的價(jià)值。
首先是隨時(shí)隨地的安全訪問。
通過Q-SASESASE可以將在云管理平臺(tái)上設(shè)置的策略,下發(fā)至靠近終端用戶最近的安全節(jié)點(diǎn),無論用戶處于何時(shí)、何地,都可以安全可控的訪問所需資源。
其次是持續(xù)的安全運(yùn)營(yíng)
SASE采用統(tǒng)一的安全架構(gòu)、提供統(tǒng)一防護(hù)水平、實(shí)施統(tǒng)一訪問策略、實(shí)現(xiàn)統(tǒng)一運(yùn)行管理,為信息化網(wǎng)絡(luò)提供全局安全防護(hù)的持續(xù)保障。
第三是大幅的降本增效。
Q-SASE同時(shí)具備安全防護(hù)能力和組網(wǎng)能力,基于云安全資源池提供NGFW、WAF、SWG、端點(diǎn)安全等多項(xiàng)安全能力,避免IT和安全的重復(fù)建設(shè)、重復(fù)投入,大幅度降低了信息化建設(shè)成本和管理成本;基于SD-WAN可以實(shí)現(xiàn)總部、分支機(jī)構(gòu)的安全組網(wǎng),節(jié)約了昂貴的專線費(fèi)用。
結(jié)束語
奇安信Q-SASE可以有效幫助政企單位解決了分支機(jī)構(gòu)互聯(lián)網(wǎng)收口訪問、內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)訪問、遠(yuǎn)程接入訪問的安全防護(hù)需求,有效緩解 “防護(hù)不全、能力不夠、效率不高”的三大新型挑戰(zhàn),為企業(yè)的每一次云網(wǎng)接入訪問保駕護(hù)航。
